Investigadores identificaram falhas no Bluetooth Low Energy, que possibilitam entrar e roubar carros como os Tesla Model 3 e Y, e afectam muitos outros dispositivos.
Há muito que são conhecidos os ataques de retransmissão de chaves wireless, que enganam um carro de modo a pensar que a chave legítima, a dezenas ou centenas de metros de distância, esteja ali perto – permitindo a entrada e condução de um ladrão. Desta vez, o princípio é o mesmo, mas capaz de ultrapassar as medidas de protecção mais recentes do BLE, que visavam proteger contra este tipo de ataques.
Basicamente, todos os sistemas que dependem da detecção de proximidade usando BLE estão em risco. O cenário foi demonstrado com um Tesla Model 3 e Model Y (mas afectando muitas outras marcas e modelos) permitindo que os atacantes entrassem e conduzissem o carro, quando a chave estava a dezenas de metros; mas vai muito mais além. Os investigadores referem que a mesma falha pode permitir coisas como: desbloquear portáteis e smartphones que usem a proximidade de uma chave, smartphone, smartwatch; abrir fechaduras electrónicas; entrar em locais controlados (simulando uma chave BLE de outro funcionário); ou falsificar a localização de sistemas de tracking BLE.
O maior problema é que é esta falha não é algo que possa ser corrigido pelo próprio BLE na sua implementação actual, sendo algo derivado da sua concepção. A “falha” é os fabricantes de produtos estarem a usar a funcionalidade de proximidade do BLE para aplicações de segurança crítica (como fechaduras, ou automóveis) quando essa funcionalidade não foi concebida para tal. Por isso, os investigadores recomendam a desactivação das funcionalidades de desbloqueio por proximidade, desligar o Bluetooth sempre que não seja necessário, no caso das chaves usar os acelerómetros para desligar as transmissões quando estiver estacionária por algum tempo, ou implementar métodos de autenticação 2-factor como fazer um pedido de confirmação adicional numa app no smartphone.
No caso dos Teslas, é recomendável que os donos activem o código PIN de segurança, que obriga a introduzir o código antes de se poder conduzir o veículo.